Datenleck

Übersicht mit direktem Link

Information über Facebook-Datenleck

Facebook Datenleck

Das Osterwochenende 2021 hatte ganz eigene Überraschungen parat: Persönliche Daten von mehr als 530 Millionen Facebook-User, darunter seien vollständige Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und mitunter sogar der Beziehungsstatus, sollen laut der IT-Sicherheitsfirma Hudson Rock im Internet veröffentlicht worden sein. In Deutschland betraf dies wohl rund 6 Millionen Nutzern. Nach Medienberichten soll es eine Sicherheitslücke möglich gemacht haben, die laut Facebook seit August 2019 geschlossen gewesen sein soll. Damals waren u.a. Handynummern von 420 Millionen Facebook-Profilen unverschlüsselt zugänglich. Möglich ist das durch das sogenannte Scraping, ein automatisierter Massenabruf öffentlicher Daten, in diesem Fall über die Telefonnummern und daraus abgeleiteten Profilen. Besondere Vorsicht gilt einigen Spielen, die Zugriff auf Ihre Daten gewähren und oft auch in Ihrem Feed gepostet werden wollen.

Leider betrifft diese Sicherheitslücke nicht nur Daten von Facebook-Anwendern, sondern auch die Nutzerdaten des Karrierenetzwerks LinkedIn werden von Kriminellen zum Verkauf angeboten, laut dem Fachmagazin heise.de. Die Schwierigkeit hierbei ist, dass die Nutzer selbst – ohne sich dessen bewusst zu sein – die Informationen veröffentlichen.

Welche Gefahren bestehen für die Nutzer?

Durch veröffentlichten Mail-Adressen und Telefonnummern werden Sie ein vermehrtes Aufkommen von betrügerischen Spam-Nachrichten erhalten. Besonders häufig sind die gefälschte Paketbenachrichtigungen per Smishing SMS. Ruft man den Link der SMS auf, landet man auf einer Malware-Seite. Durch die geleakten Informationen von Geburtstag, Beruf, Wohnort und weiteren persönlichen Informationen werden die Nachrichten weniger leicht als Spam erkennbar und noch gefährlicher.

Muss Facebook haften?

Facebook musste bereits 7 Millionen Euro Bußgeld begleichen, weil die Datenschutzbestimmungen nicht ausreichend klarstellen, wie die Nutzerdaten intern verwendet werden. Solche Urteile bei Datenlecks sorgen seit Inkrafttreten der DSGVO immer wieder für Nachrichten.

Allerdings ist nicht alles so einfach. Liegt die Verantwortung der Datenschutzverstöße außerhalb der Verantwortung des Konzerns, ist Facebook zuerst in der Verantwortung, den Leak umgehend der zuständigen Datenschutzaufsichtsbehörde zu melden und zu schließen. Nur, wenn Facebook dieser Pflicht nicht nachkäme, ist ein Bußgeld fällig. Ob jedoch die Nutzer ebenfalls informiert werden müssen, regelt Art. 34 DSGVO. Demnach sollten die

Betroffenen Nutzer „unverzüglich“ von der Verletzung unterrichten werden. Allerdings gilt das nur dann, wenn von dem Leak „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ ausgeht. Ergreift Facebook sofort Maßnahmen, um die Daten wieder zu sichern, ist die Informationspflicht zudem ausgeschlossen. Facebook teilte bereits nach der ersten Veröffentlichung von Daten 2019 mit, sofort nachgebessert zu haben, also keiner Meldung verpflichtet zu sein. Ob dieses Mal die Voraussetzung des Art. 34 vorliegen, wird jetzt geprüft.

Wer Fragen an Facebook stellen möchte, findet im Hilfebereich von Facebook das richtige Formular. Der Art. 15 DSGVO erlaubt Facebook Nutzern, von Facebook Auskunft zu verlangen, ob sie vom Datenleck betroffen sind. Sollte Facebook keine oder eine unvollständige Auskunft erteilen, kann bereits sich daraus zu Ihren Gunsten ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Auch aus weitere Pflichtverletzungen, mit den Datenlecks zusammenhängend, können möglicherweise Schadensersatzansprüche zur Folge haben.

Die irische Datenschutzkommission

Facebook tatsächlich seinen Kontroll- und Meldepflichten nachgekommen ist. Am 14. April 2021 veröffentlichte sie folgende öffentliche Stellungnahme (aus dem Englischen übersetzt):

Die Datenschutzkommission (Data Protection Commission, DPC) hat heute auf eigene Initiative eine Untersuchung gemäß Abschnitt 110 des Data Protection Act 2018 in Bezug auf mehrere internationale Medienberichte eingeleitet, in denen betont wurde, dass ein gesammelter Datensatz mit personenbezogenen Daten von Facebook-Nutzern im Internet verfügbar gemacht wurde. Dieser Datensatz enthielt Berichten zufolge personenbezogene Daten von etwa 533 Millionen Facebook-Nutzern weltweit. Die Datenschutzkommission hat Facebook Irland in Bezug auf dieses Problem kontaktiert und Fragen zur Einhaltung der Datenschutzgrundverordnung gestellt, auf die Facebook Irland eine Reihe von Antworten geliefert hat.

Nach Prüfung der von Facebook Irland in dieser Angelegenheit bisher zur Verfügung gestellten Informationen ist die Datenschutzkommission der Meinung, dass eine oder mehrere Bestimmungen der DSGVO und/oder des Data Protection Act 2018 in Bezug auf die personenbezogenen Daten der Facebook-Nutzer möglicherweise verletzt wurden und/oder werden.

Dementsprechend hält es die Kommission für angemessen, festzustellen, ob Facebook Irland seinen Verpflichtungen als verantwortlicher Datenverarbeiter im Zusammenhang mit der Verarbeitung personenbezogener Daten seiner Nutzer mittels der Funktionen Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer seines Dienstes nachgekommen ist oder ob eine oder mehrere Bestimmungen der DSGVO und/oder des Data Protection Act 2018 in dieser Hinsicht von Facebook verletzt wurden und/oder werden.

Was sollten Social Media Nutzer ändern?

Sollten Ihre Daten in zwielichtigen Datenbanken auftauchen, ist dringend Handlungsbedarf. Aber auch, wenn Sie besonders viele Spam-Nachrichten erhalten oder einfach als Vorbeugung, handeln Sie bitte sofort.

• Ändern Sie Ihre Passwörter auf allen Ihren Social Media Accounts. Nutzen Sie starke Passwörter aus mindestens 8 Zeichen, die Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten und in keinem Wörterbuch auffindbar sind oder mit Ihnen verbunden werden könnten.
• Bitte verwenden Sie für jedes Nutzerkonto ein einzigartiges Passwort. Ganz besonders bei sensiblen Zugängen, wie Online-Banking, erstellen Sie ein besonders starkes Passwort.
• Ändern Sie regelmäßig ihre Passwörter. Warten Sie nicht, bis es zu spät ist.
• Seien Sie besonders skeptisch bei E-Mails und SMS unbekannter Herkunft. Im Phishing-Radar zeigen wir typische Merkmale betrügerischer Nachrichten. Öffnen Sie keinesfalls Links oder Anhänge in solchen Nachrichten.
• Ändern Sie Ihre E-Mail-Adresse und Ihre Handynummer. Nutzen Sie eine für soziale Netzwerke, eine andere für Freunde und Familie und eine dritte Mail-Adresse für Verträge etc.

So hilft Kanzlei Dawood und Beispiele erfolgreicher Gerichtsurteile

Deutsche Gerichte billigten Klägern bereits hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zu. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.

In folgenden Fällen haben Gerichte in Verfahren zu ähnlichen Sachverhalten im Datenschutzrecht hohe Schadensersatzsummen zugebilligt:

• ArbG Neumünster, Urt. v. 11.08.2020, 1 Ca 247/20
  1500 Euro : Aufgrund verspäteter Beantwortung der Auskunft: Verstoß gegen Art. 15 Abs. 1 DSGVO
• ArbG Düsseldorf, Urt. v. 05.03.2020, 9 Ca 6557/18
  5000 Euro : Verspätete und unvollständige Auskunft: Verstoß gegen Art. 15 Abs. 1 DSGVO; zzgl. Verstoß gegen Art. 12 Abs. 3 DSGVO (Transparenzgebot)
• LG Darmstadt, Urt. v. 26. 5. 2020, 13 O 244/19
  1000 Euro : Unzulässige Meldung einer Person bei einer Wirtschaftsauskunft: Verstoß gegen Art. 6 Abs. 1 DSGVO sowie Art. 17 Abs. 1 lit. d) DSGVO (Recht auf Vergessen-werden)
• AG Hildesheim, Urt. v. 5. 10. 2020, 43 C 145/19
  800 Euro : Retournierter PC inklusive personenbezogenen Daten wurde ohne dessen Einwilligung einem Dritten überlassen: Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO

Geschädigte konnten also Schadensersatzansprüche in vierstelliger Höhe erfolgreich geltend machen. Natürlich hängt der Erfolg Ihrer Schadensersatzforderung und die genaue Höhe Ihres individuellen Schadensersatzanspruchs infolge der Facebook-Datenpanne stets vom Einzelfall ab. Wir werden jedoch alles versuchen, um für Sie das bestmögliche Ergebnis zu erzielen.

Kontakt und Beauftragung